VPN Nedir?
VPN, "Virtual Private Network"'ün (Sanal Özel Ağ'ın) kısaltmasıdır. VPN ile Internet gibi halka açık ağlar üzerinden güvenli bir şekilde kullanıcıların kendi kurum kaynaklarına erişmeleri sağlanmaktadır.
VPN ile üç farklı güvenlik tekniği sağlanır. Kimlik sorgulaması (Authentication) ile sadece yetkili kullanıcıların VPN hizmetini alabilmesi sağlanır. Kriptolama (encryption) ile yapılacak haberleşmenin şifrelenerek başka kullanıcıların haberleşmeyi dinlemesi, veri bütünlüğü (data integrity) ile de kötü niyetli kullanıcıların yolladığınız paketlerin içeriğini değiştirebilmeleri engellenir. Kiralık hat, Frame Relay, ISDN, gibi bağlantı şekilleri kullanılarak şirket ofisleri birbirine bağlandığında aradaki hat özel bir hat olduğu için verilerin çalınması veya değiştirilmesi mümkün olmamaktadır. Fakat internet üzerinden verilerin taşınması söz konusu olduğunda verilerin güvenlik amacıyla şifrelenmesi gerekmektedir. VPN teknolojileri bunu sağlar. Kiralık hatlar (Lease-line) gibi daha güvenli, sağlam çözümlerin yerine VPN kullanılmasının temel nedeni, maliyet ve kolay yapılandırmadır.
VPN sayesinde şirketlerin ofislerini birbirine ya da mobil kullanıcılarını merkeze bağlamak için kendi ağ omurgalarını kurmasına gerek kalmaz. VPN ile her lokasyon, diğer lokasyonlarla arasındaki bağlantıyı internet üzerinden kesintisiz ve yüksek hızla gerçekleştirir. VPN, şirketlerin internet omurgasını kendi omurgaları gibi kullanmalarına imkân vermektedir.
Şekil 1: İnternette iki güvenli ağ arasındaki VPN
VPN ÇEŞİTLERİ
VPN uygulamalarının birçok çeşidi vardır. Bunları 3 temel başlık altında toplayabiliriz:
1. Intranet VPN
2. Remote Access VPN
3. Extranet VPN
Şekil 2 : VPN Uygulamaları
1. Intranet VPN:
Intranet VPN, çoğunlukla farklı şehirlerde veya farklı binalarda farklı ofislerdeki şirketlerin bilgi yapılarının iletişiminin kolaylıkla sağlanması için kullanılır. Teknolojik gerekliliklerin en önemlisi ağda aktarılan bilginin korunması için verinin güçlü bir şekilde şifrelenmesidir. Intranet VPN’nin diğer önemli özelliği; ağdaki satışlar, müşteri veritabanı yönetimi ve doküman değişikliği gibi önemli uygulamalara öncelik vermektir.
Şekil 3 : Intranet VPN
İntranet'ler, basitten daha karmaşık(işler açısından daha kritik) uygulamalara doğru bir gelişim göstermektedir:
| 1.Aşama | Bilgi Yayınlama | Kağıttaki bilgiler şirket intraneti üzerine taşınır. bu ür bilgiler şirket için önemli bilgi kaynakları olarak görülür. |
| 2. Aşama | Etkileşim | Eski veritabanları ve yazılım sismtemleriyle (ERP gibi) etkileşen intranet uygulamaları geliştirilir. Sağlanan yarar: Web tarayıcı, uygulamalara erişmek için uyumlu bir önyüz olarak hizmet eder. Intranet stratejik bir iş kaynağı haline gelir. |
| 3. Aşama | Ekstranet : intranet e-ticaret tümleşimi | Müşteri ve tedaikçiler ekstranetler yardımıyla siparişlerini girebilirler. Bu siparişler daha sonra mevcut yazılım sistemleriyle (ERP) işlenir. Sağlanan yarar: İş yapma maliyetinin düşürülmesi |
Tablo 1: Intranet VPN Aşamaları
2. Remote Access VPN:
Remote Access VPN, firmaların gezgin çalışanlarının firma ağına her yerden güvenli iletişimlerini sağlamak için kullanılır. Ya da büyük bir firmanın farklı lokasyonlardaki şubelerini merkeze bağlamak için kullanılır. Remote Access VPN’nin en önemli özelliği kimlik sorgulaması ile uzak ve gezgin kullanıcıların kimliklerini doğrulamasıdır. Kullanıcılar uygun erişim ve teknolojiye sahipse ISP ile bağlanabilir.
Basitçe resimleyecek olursak: Firmanın satış elemanı Sivas’ta bir görüşme sonrası bazı belgeleri print etmesi ya da ofisteki bir kaynağı kullanması gerekti, bunu normal internet üzerinden yapmak hem riskli hem de bir o kadar zordur. Bunun yerine bu elemana VPN istemcisi kurularak istediği yerden şirket ağına bağlanarak “belirli” işlemleri gerçekleştirebilmesini ve “belirli” kaynaklara erişimi sağlanabilir -ki tercih edilmesi gereken yöntem de budur
Şekil 4 : Remote Access VPN
3. Extranet VPN:
Extranet VPN (Internet tabanlı VPN ) daha esnek ve kullanıcılara daha çok seçenek sunan geniş ölçekli VPN oluşturmak için birçok teknolojiyi bünyesinde barındırır. Internet Security Protocol (IPSec), Extranet VPN’nin en çok kullanılan standardıdır.
Ekstranet'ler, bir şirketin intranet'i ile yetkili kılınmış iş ortakları arasında iletişim düzenlemeleri yapılmasına olanak tanır. İş hareketlerinin etkin yönetimi açısından, her bir iş ortağı grubu için ayrı bir ekstranet yaratılmalıdır. Sonuç olarak, yetkilendirilmiş iş ortakları, denetleyici rol oynayan intranet'e ekstranet'ler üzerinden güvenli bir biçimde ulaşmış olur. İş hareketleri İnternet üzerinde oluşur ve intranet'in güvenlik duvarına erişinceye kadar kriptolanmış durumda kalırlar. Bu şekilde, ticari sırların yattığı hareketlere üçüncü şahısların erişmesi engellenmiş olur.
Ekstranet'ler intranet'lerin mantıksal uzantılarıdır. İntranet'lerin sağladığı gizlilik ve güvenlik ile İnternet'in sağladığı küresel erişim olanağını üzerlerinde birleştirirler. Bu şekilde, kurum dışındaki iş ortakları, tedarikçiler, müşteriler ve distribütörlerin kurumsal ağa erişmesi sağlanmış olur. Ekstranet'ler, işletmeler arası iletişim kavramına yeni bir boyut getirdiğinden, ekstranet e-ticareti mümkün kılan teknoloji olarak görülmelidir.
Şekil 5 : Extranet VPN
VPN TÜNEL OLUŞTURMA
VPN’de iki bilgisayar arasındaki iletişim VPN tünelleriyle gerçekleşir. Tünel oluşturma, iletim yapılırken bütünlüğün ve gizliliğin korunması için paketleri diğer paketlerin içine kapsülleme işlemidir. Tünellemenin, kriptolama, kimlik sorgulama, paket iletme ve özel IP adresini gizleme gibi görevleri vardır. Tünelin iki bilgisayar arasındaki özel bir bağlantı olduğu düşünülebilir. Sadece izinli olana gönderilebilen ve internet gibi herkese açık bir ağ üzerinden gönderilen bir bağlantıdır.
VPN iletişiminde veri, kapsülleme (encapsulation) kullanılarak VPN tüneli üzerinden gönderilir(Şekil 6). Şekil 6'da görülen İzmir'deki VPN yoğunlaştırıcıda (concentrator) mesaj kriptolanır, sonra VPN üzerinden gönderilmek üzere ulaşım amacı ile kapsüllenir. Bu kapsülleme sırasında, mesaj bir "zarf" içine yerleştirilir ve Ankara VPN yoğunlaştırıcısına doğru adreslenir. Ankara VPN yoğunlaştırıcısı mesajı aldığında en dıştaki zarfı yok eder ve verinin kriptosunu çözer ve mesajı varacağı sunucuya aktarır.
Şekil 6 : Kapsülleme
VPN Tünel Çeşitleri:
1. İstemciden LAN’a:
Eskiden uzak kullanıcılar için RAS'lar kullanılmaktaydı. Bu elemanların kullanımı uzun mesafe telefon çağrılarını gerektirmekteydi. VPN'ler sayesinde, kullanıcı yerel ISS'yi aramakta ve Internet üzerinde kurum ağına güvenli bağlantı kurmaktadır. Bunun için, istemci bilgisayarına küçük bir istemci yazılımı kurulması yeterlidir (üçüncü şahıs firma yazılımı veya işletim sistemi ile birlikte sağlanan).
2. LAN’dan LAN’a:
Geçmişte bu tür bağlantılar özel kiralık hatlarla gerçekleştiriliyordu. VPN sayesinde, Internet gibi genel olarak herkes tarafından paylaşılan bir ağ üzerinden yerleşkeler arasında oluşturulan tünel yardımıyla veri güvenliği sağlatılabilmektedir.
Şekil 7: VPN Tünel Çeşitleri
VPN Tünel Oluşturma Protokolleri:
1. PPTP (Point to Point Tunnelling Protocol):
Microsoft'un istemci desteği: Orijinal olarak MS, Ascend ve diğerleri tarafından geliştirilmiştir. PPTP, kimlik sorgulaması ve kriptolama servislerini sağlar. LAN’dan LAN’a ve çevirmeli bağlantı gibi birçok Microsoft ağ protokolünü destekler. Fakat bu protokol patentli ve kriptolaması zayıftır
Şekil 8: PPTP
2. L2TP (Layer 2 Tunnelling Protocol):
PPTP ve L2F'in (Cisco Protokolü) halefi kabul edilmektedir. MS ve Cisco, protokolün geliştirilmesinde işbirliği içindedir. L2TP, IPSec tabanlı doğrulama/onaylama ve kriptolamayı desteklemesi nedeniyle PPTP'nin bir adım ötesine geçer. IPSec'in sağladığı temel özellik ve üstünlükler şunlardır:
· IETF tarafından geliştirilmiştir.
· PPTP'den daha güçlü bir kriptolama ve doğrulama sağlar.
· Büyük ağlar için, PPTP'den daha iyi ölçeklenmektedir.
· VPN üreticilerince sağlanmaktadır.
Şekil 9: L2TP
3. L2F (Layer 2 Forwarding) Protokolü:
Cisco'nun desteklediği VPN protokolüdür.
Şekil 10: L2F
VPN GÜVENLİĞİ
1. Yetkilendirme (Authorisation): VPN bağlantıları, kullanıcılar ve routerlar için sadece izin verildiğinde oluşturulur. Windows 2000 için, VPN bağlantılarının yetkilendirilmesi, kullanıcı hesabındaki bağlantı özellikleri ve uzaktan erişim talimatları ile kesinleştirilir. Eğer kullanıcı veya router bağlantı için izinli değilse, server bunları devre dışı bırakır.
2. Kimlik Sorgulama (Authentication): Güvenlik için önemli bir yöntemdir. 2 adımda
gerçekleştirilir.
a) Makine Tabanlı Kimlik Sorgulama (Machine-level authentication): VPN
bağlantısı için IPSec protokolü kullanıldığı zaman, machine- level authentication,
kurumun IPSec bağlantısındaki makine sertifikasını değiştirir.
b) Kullanıcı Tabanlı Kimlik Sorgulama (User-level authentication): Veri, PPTP
veya L2TP tüneline gönderilmeden önce, kullanıcı kimliğini doğrulamak
zorundadır. Bu da PPP kimlik doğrulama metodu kullanılarak yapılmaktadır.
3. Kriptolama (Data Encryption): Bu yöntem, şifrelenmiş verinin ağ üzerinde gönderilmesine izin veren VPN bağlantısı oluşturur. Şifrelenmemiş bağlantının olması da mümkün olduğu halde bu, tavsiye edilmez. VPN bağlantıları için end-to-end güvenliği sağlanamaz, sadece istemci ve VPN server arasında sağlanır. End-to-end bağlantısı oluşturmak için, VPN bağlantısı kurulurken IPSec protokolü kullanılmalıdır.
4. Packet Filtering: VPN server’ın güvenliğini artırmak için packet filtering kullanılır. VPN’nin internet arayüzünde (Windows 2000 için) RRAS filtrelerinin kullanılması uygundur.
5. Güvenlik Duvarı (Firewall): Özel ağ ve internet arasında güçlü bir duvar oluşturur. Hangi türde paketlerin geçtiğine, hangi protokollerin izinli olduğuna ve açık portların sayısına göre firewall ayarlanabilir.
6. IPSec (Internet Protocol Security): En iyi şifreleme algoritmaları ve çok kapsamlı kimlik sorgulama gibi güvenlik özelliklerini geliştirmeyi sağlar. İki şifreleme türü vardır: Tünel ve iletim. Tünel, her paketin baş kısmını (header) ve verinin taşındığı kısmı (payload) şifreler ve şifrelenmiş kısımlar iletilir (transport). Bu protokolün avantajlarından sadece IPSec uyumlu sistemler yararlanabilir. Bütün cihazlar ortak bir anahtar kullanmalı ve ağlardaki firewall’lar benzer güvenlik ilkelerine sahip olmalıdır.
IPSec,
· Router’dan router’a
· Firewall’dan router’a
· PC’den router’a
· PC’den server’a
gibi farklı cihazlar arasında veri şifrelemesi yapabilmektedir.
VPN PROJESİNDE İZLENMESİ GEREKEN ADIMLAR
Birinci Adım: Uzaktan erişim gereksinimleri değerlendirilir
Ne tür WAN bağlantıları gerekli olduğu belirlenmeye çalışılır. Kullanıcılar kurum ağına LAN/WAN üzerinden mi, yoksa çevirmeli bağlantılar üzerinden mi erişmektedir? Uzaktaki kullanıcılar aynı organizasyonun bir parçası mıdırlar? WAN bağlantıları denince, İntranet ve ekstranet kategorilerinden biri anlaşılmalıdır. İntranet'ler aynı organizasyon içinde birbirine güvenen yerleşke ve kullanıcıları birbirine bağlar. Merkez ofise bağlı şubeler, uzaktan ve mobil çalışanlar, bu kategoriye girer. İntranet linkleri için VPN, kullanıcı ve şubelere sanki fiziksel olarak kurumsal ağa bağlıymış gibi çalışma olanağı vermelidir. İntranet VPN'inde, kurumsal güvenlik politikalarından daha fazlası aranmaz. Yani, uzaktaki kullanıcılar kurum ağına giriş yapabilmek için onaylandıktan (authentication) sonra, geçerli olan kurumsal güvenlik politikaları uygulanır; daha fazlası değil. İntranet VPN'lerinde, şube ofislerin fiziksel güvenliği önem kazanmaktadır. Fiziksel güvenlikten, şubedeki kilit ve anahtarlardan, bilgiişlem ve ağ aygıtlarına erişim ve şirkette çalışmayanların aynı unsurlara erişiminin denetlenmesine kadar birçok etken anlaşılmalıdır. Eğer bu sayılanlardan hiçbirisi sorun değilse, bu durumda VPN tabanlı kullanıcı onayı bulunmayan LAN'dan LAN'a tünel oluşturmak yeterli olur. Eğer fiziksel güvenlik sorunluysa, bu durumda güçlü onay mekanizmaları çalıştırılmalı, uzak kullanıcıların kurum ağı üzerinden sadece yalıtılmış altağlara(subnet) erişmesine izin verilmelidir. Ekstranet güvenlik gereksinimleri daha sıkı tutulmak durumundadır. Kuruma özel gizli bilgilere erişebilme yasak olmalı, ancak istendiği zaman izinle erişim sağlatılmalı, iş sona erdikten sonra erişim gene yasaklanmalıdır. Ekstranet bağlantıları normal olarak kurum dışından kişiler anlamına geldiğinden, bunların yönetimi oldukça zordur.
İkinci Adım: Üst yönetim işin içine erken bir aşamada sokulmalıdır.
Bir organizasyonun güvenlik politikaları, hangi tip uzaktan erişimlere izin verilip hangi tip erişimlere izin verilmediğini açıkça tanımlamalıdır. Bu tür yönergeler yazılırken, kuruluşun üst yönetim kadrosu işin projenin erken aşamalarında işin içine çekilmeli ve ortak bir uzlaşma oluşturulmalıdır. Yönergede, kullanılacak VPN donanımının tipi (model ve üretici kastedilmiyor) ve gerçekleme seçenekleri ve kullanıcıların nasıl onaylanacağı gibi konuların yer alması yararlı olur. Yönergede içerilebilecek diğer konular arasında, "uzak erişim için uygunluk", "yönetimsel sorumluluk", "ekstranet bağlantıları için sorumluluk", "VPN kullanımının gözlenmesi", "seyahatteki kullanıcılara erişim hakkı verilmesi" gibi konular bulunmalıdır. Yazılı politikalar arasında, "kriptolama anahtarlarının uzunluğu" gibi teknik ayrıntılar da olabilir. İşten ayrılan veya görev sorumlulukları değişen kullanıcılar, derhal "onay veritabanlarından" çıkarılmalıdır. Bu tür işlemlerin kesintisiz yürüyebilmesi için, kurumların insan kaynakları bölümleri ile VPN yöneticileri arasında eşgüdümün sağlatılması gerekecektir. İkinci kısımda, "en uygun ürünün belirlenmesi", "test etme (sınama)", "sistemin ölçeklenmesi", "altyapıda (mimaride) VPN sunucu için yer belirlenmesi", "diğer ağ aygıtlarının yeni baştan konfigüre edilmesi", "VPN'in kurularak konfigüre edilmesi", "VPN'in gözlenip yönetilmesi" ve son adımda da "yedek sistemler oluşturulması" ile proje aşamaları anlatılacaktır.
Üçüncü adım: En uygun ürünün belirlenmesi
Pazardaki VPN ürünleri üç sınıftan birine sokulabilir. Bunlar:
i. Donanım tabanlı sistemler,
ii. Kendi kendilerine yeterli yazılımsal ürünler,
iii. "Güvenlik duvarı (firewall)" tabanlı sistemler.
Bunların çoğu LAN'dan LAN'a çevirmeli bağlantıları desteklemektedir. Donanımsal VPN ürünleri tipik olarak "kriptolama uygulayan yönlendiricilerdir (encrypting routers)".Bu tip ürünler kriptolama anahtarlarını aygıt içindeki silikon bir yonga (chip) üzerinde sakladığından, bu ürünlerin şifrelerini kırabilmek, yazılımsal tabanlı ürünlere göre daha zordur. Kriptolama uygulayan yönlendiriciler diğer seçeneklere göre daha hızlı çalışırlar. Eğer 1,5 Mbps ve üzeri bağlantı hızları ile çalışılacaksa, bu tür VPN ürünlerin seçilmesi uygundur. Bu tip ürünlerin başlıca sakıncaları arasında, üreticiye özgü standart olmayan donanımlar nedeniyle her iki uçta da aynı ürünlerin kullanılma gereği ve ağ topolojisinin değiştiği veya bir kullanıcının şifre anahtarı iptal edildiği her defasında, her uçtaki aygıtlarda el ile değişiklikler yapılmasını gerektirmesidir. Daha yeni nesil donanım tabanlı ürünlerde, her masaüstü makine için "istemci yazılımı" sağlanmaya başlanmıştır. İstemci yazılımı ile değişen bilgiler otomatik olarak işlenebilmektedir. Yani, yeni nesil donanım tabanlı ürünlerle işler daha kolaylaşmış ve yazılım tabanlı ürünlerle farklar yavaş yavaş ortadan kalkmaya başlamıştır.
Yazılım tabanlı VPN ürünleri daha fazla esneklik sağlamaktadır. Örneğin, donanım tabanlı ürünler protokolden bağımsız olarak tüm trafiği tünellemelerine karşılık, yazılım tabanlı olanlar trafiği adres veya protokole bağlı olarak tüneller. Çevirmeli (dial-up) linkler gibi performansın düşük/orta düzeyde olduğu bağlantılar için yazılımsal VPN ürünleri daha iyi bir seçenek olabilir. Yönetimlerinin zor oluşu yazılımsal ürünlerin başlıca sakıncasıdır. Bu tür ürünler için üzerinde çalıştıkları bilgisayar işletim sistemi (OS), uygulamanın kendisi ve uygun güvenlik mekanizmaları hakkında bilgi sahibi olunmalıdır. Bazı yazılımsal paketler yönlendirme tabloları ve ağ adresleme şemalarında değişimler yapılmasını gerektirebilirler.
Güvenlik duvarı tabanlı VPN'ler iç ağa erişimin kısıtlanması da dahil güvenlik duvarının güvenlik mekanizmasından yararlanır. Güvenlik duvarı tabanlı VPN'ler ayrıca, adres dönüştürme, güçlü bir onay mekanizması (strong authentication), gerçek zaman alarmları oluşturabilme ve ayrıntılı log'lama olanağı sağlar. Bu arada bazı güvenlik duvarı ürünleri tehlikeli veya gereksiz servisleri iptal ederek OS'in kernel'ini sağlamlaştırır. Güvenlik duvarı tabanlı VPN'ler ne zaman en iyi çözümdür? Eğer uzaktaki kullanıcı veya ağlar, potansiyel olarak saldırgan nitelik taşıyorlarsa güvenlik duvarı tabanlı VPN ürünleri uygun çözüm olur. Bu durumda, güvenlik duvarı üzerinde üçüncü bir arayüz kartı (NIC) ve kendine özgü erişim denetim kuralları ile "demilitarized zone (DMZ)" segmenti oluşturulur. Saldırganlar DMZ koluna ulaşabilse bile, iç ağdaki segmentlere zarar veremeyeceklerdir. Sadece İntranet amaçlı gerçeklemeler için güvenlik duvarı tabanlı VPN'ler gerçeklenme ve yönetilmeleri en kolay ve en ucuz seçeneklerdir.
Tüm üç VPN tipi için ağ yöneticilerinin:
· Baş edilebilen protokol tipleri,
· IPSec desteği,
· Onay/doğrulama sunucusu desteği,
· Kriptolama anahtarlarının ihraç edilebilirliği (bazı ülkelere ihraç yasağı
bulunmaktadır),
gibi kritik bazı konulara dikkat etmesi gerekir. Kurumların önemli bir kısmında birden fazla protokol kullanılmaktadır. Buna karşılık VPN ürünlerinin çoğunluğu sadece IP'yi desteklemektedir. IPX veya SNA gibi diğer protokollerin geçirilmesi gereken durumlarda VPN ürününün ya bu protokolleri kriptolaması veya IP üzerinden tünellemesi gerekir. IPSec, IETF (Internet Engineering Task Force) tarafından TCP/IP protokol takımına standartlara dayalı onay ve kriptolama eklemek üzere girişilen bir çalışmadır. IPSec'in yaygınlık kazanmasıyla, güvenilir bir çalışma kurmak için illa da aynı üretici firmanın VPN ürününden kullanılması gerekmeyecektir. Her ne kadar birçok VPN kendi "onay/doğrulama veritabanına" sahipse de, ağ yöneticileri mevcut onay/doğrulama sunucularının işlevselliğini arttırmak isteyebilir. Örneğin birçok "RAS'da (Remote Access Server)" RADIUS (Remote Authentication Dial-In User Server) veya TACACS (Terminal Access Controller Access System) protokollerinden birisine dayalı bir dış sistem kullanılır. Kendi kendine yeterli onay/doğrulama sunucularının avantajı "ölçeklenebilirliktir (scalability)". Erişim aygıtlarının sayısından bağımsız olarak, tek bir onay/doğrulama sunucusu yeterli olur.
Dördüncü adım: Test etme (sınama) aşaması
İki üç tane VPN ürünü ayrıntılı testlerden geçirilir. Uzak kullanıcılar arasından küçük bir pilot kullanıcı grubu belirlenerek sistem denenir. İlk denemelerde teknik becerisi birbirinden oldukça farklı çalışanlar seçilmesinde yarar vardır. Bu şekilde, VPN ürününün kolay kullanılabilme ve yönetilebilme durumları hakkında fikir edinilmiş olur.
Başarılı bir VPN test süreci altı noktayı kapsamalıdır:
· VPN'in organizasyonun uzak erişim politikalarına uygun olarak konfigüre
edilebileceğini ortaya çıkarmalıdır,
· VPN'in kullanımda olan tüm onay ve yetkilendirme (authorization) mekanizmalarını
destekleyip desteklemediğini ortaya çıkarmalıdır,
· VPN'in anahtarları etkin bir şekilde yaratıp dağıtabildiği kanıtlanmış olur,
· Uzaktaki kullanıcı ve yerleşkelerin sanki fiziksel olarak kurum ağına bağlıymış gibi
çalışabildikleri kanıtlanmış olur,
· Sorunlar çıktığında sorunların nasıl giderilebileceği konusunda ipuçlarını sağlar,
· VPN'in teknik veya teknik olmayan personel tarafından kolayca kullanılıp
kullanılamayacağını ortaya koyar.
Beşinci adım: Sistemin ölçeklenmesi
Uygun donanım sistemine karar verme aşamasında toplam kullanıcı sayısını, aynı anda açılan oturumların tipik sayısını ve verinin tipik zaman duyarlılığını (gerekli anahtar uzunluğunu belirler) tahmin etmeye çalışınız. Sunucu üzerine olabildiğince fazla RAM takılmalıdır. Çünkü daha fazla RAM, aynı anda daha fazla sayıda bağlantı anlamına gelir.1,5 Mbps 'den daha yüksek hızlara çıkıldıkça donanım tabanlı VPN'lerin dikkate alınması önerilir. Bazı üreticiler ürünleri ile ilgili performans (başarım) kıyaslama (benchmarking) raporlarını sunarlar. Bu kıyaslamaların hangi koşullarda yapıldığının bilinmesi ve farklı üretici ürünlerinin aynı koşullar altında birbiriyle kıyaslanması doğru olur. Bu kıyaslamalar yapılırken, çerçeve (frame) uzunluğu, kriptolama algoritması ve anahtar uzunluğu, sıkıştırma ve mesaj onayının kullanılıp kullanılmadığı gibi konulara dikkat edilmesi gerekir. Ağ yöneticilerinin göz önüne alması gereken iki kritik konudan birisi, sistemlerin yedeklenmesi (birinde arıza çıktığında diğerinin üzerinden çalışma), diğeri ise çok sayıda sunucu üzerinden "yük dengelenmesidir (load balancing)".
Altıncı adım: VPN sunucu için yer belirlenmesi
Uzaktaki kullanıcıların kurum ile yakın ilişkisi VPN aygıtının nereye yerleştirileceğini belirler. Merkez ofis ortamındaymış gibi çalışmak isteyen uzaktan erişen kullanıcılar için, VPN sunucuyu güvenlik duvarı arkasında özel (kurumun korunan iç ağı) ağın üzerine yerleştirilebilir. Fakat bunun saldırganlar için potansiyel bir hedef olacağı unutulmamalıdır. Eğer uzaktaki kullanıcıların çoğu dış organizasyonlara ait ise, VPN aygıtlarının DMZ ağı üzerine yerleştirilmesi daha uygun kaçar. Ayrıca, güvenlik duvarı DMZ kolu üzerindeki aygıtları korur. Eğer onay/doğrulama sunucusu kullanılacaksa, DMZ altağına yerleştirilmelidir. Bu şekilde, gerek dışarıdan ve gerekse içerden gelebilecek tehditlere karşı korunup, yönetilebilir. Şube ofislerle linkler kurulması en kolay yöntemdir. Link ile kastedilen, yerleşkelerdeki bir çift sunucu arasında kriptolanmış tünel oluşturulmasıdır. Seyahat eden çalışanlar veya evlerinden çalışan kullanıcıların (telecommuter) onaylanması gerekir. Bu tür çalışmada, kullanıcılar VPN sunucu ile bağlantı kurar ve VPN sunucu kurum güvenlik duvarının dışındaki DMZ kolunda yer alan bir onaylama sunucusuna "onay isteğini" iletir. En kritik bağlantılar, iş ortaklarıyla oluşturulan bağlantılardır. Bu durumda, bağlantı istekleri ilk önce ikinci DMZ kolunda yer alan VPN sunucusuna gider. Daha sonra, istekler ilk DMZ kolunda yer alan onaylama sunucusuna gönderilir. Bundan sonra, kabul edilen bağlantı istekleri istek yapılan kaynağa doğru yönlendirilir.
Yedinci adım: Diğer ağ aygıtları yeni baştan konfigüre edilir
VPN kurulması halinde, IP yönetimi ve güvenlik duvarları söz konusu olduğundan, ağ üzerindeki diğer aygıtların yeniden biçimlendirilmesi (konfigürasyon) gerekecektir. VPN tasarımlarında genellikle "ağ adres dönüşümü (NAT: Network Address Translation)" tekniği kullanılır. NAT'da, ağ içindeki özel adresler, Internet tarafından bakıldığında tek veya az sayıdaki bir grup yasal adrese karşı düşürülür. Ağ yöneticileri, hangi adreslerin ağın içinde kullanılmak üzere ayrıldığını belirlemek üzere VPN cihazlarını konfigüre etmelidir. Güvenlik duvarı tabanlı VPN'lerin çoğu "DHCP (Dynamic Host Configuration Protocol)" tekniğini desteklemektedir. DHCP ağa bağlı istemcilere dinamik olarak IP adresleri atayan bir yöntemdir. Ağ yöneticileri DHCP ve VPN fonksiyonlarını koordine etmelidir. Aksi halde istemciler ya sadece Internet'e veya sadece iç ağa doğru yönlendirilirler. Hâlbuki her ikisine doğru yönlendirilmelidirler. Eğer VPN güvenlik duvarının arka tarafında kalıyorsa, güvenlik duvarında da konfigürasyon yapılmalıdır. VPN'lerin çoğu, tüm trafiği alıp tek bir TCP kapı numarası (port number) kullanan akış halinde kapsüller (encapsulation). Bu yüzden, güvenlik duvarı için ya doğal bir "Proxy" veya kapsüllenmiş VPN trafiği geçiren bir kural tanımı yapılmalıdır. Ayrıca trafiği VPN aygıtına ulaştıran bir "izin verme" kuralı yazılmalıdır. Ekstranet'ler halinde VPN aygıtı DMZ kolunda yer alır. Bu durumda güvenlik duvarına, Internet'ten gelen kriptolanmış trafiği DMZ'ye ve uygulama trafiğinin DMZ'den iç ağa geçmesini sağlayan ek kural satırları yazılmalıdır. Eğer iç ağda bir de "onay sunucusu (authentication server)" mevcutsa, güvenlik duvarının DMZ ile iç özel ağ arasında onay isteklerinin gidip gelmesine izin verecek şekilde biçimlendirilmesi gerekir.
Bilgisayar isimlerini IP adreslerine karşı düşüren "DNS (Domain Name System)" sunucusunda herhangi bir değişikliğe gidilmesine gerek yoktur. Fakat eğer DNS sunucusu Internet tarafından görülebiliyorsa, saldırganlar için özel kurum ağının planını ortaya çıkarmada hizmet edebileceği unutulmamalıdır.
Sekizinci adım: VPN kurularak konfigüre edilir
Yazılım ve güvenlik duvarı tabanlı VPN'lerde, işe güvenli bir sistem ile başlanmalıdır. VPN'in kurulacağı sistemin üzerinden tüm gereksiz servisler, uygulamalar ve kullanıcı hesapları kaldırılmalıdır. Sistem üzerine en son hataları (bug) ve güvenlik sorunlarını gideren yamalar kurulmalıdır. Ağ yöneticilerinin VPN üzerinde ayarlaması gereken parametreler arasında, anahtar uzunluğu, birincil ve ikinci onay/doğrulama sunucuları, bağlantı ve atıl (idle) zaman aşımları (timeout), sertifika yaratma, anahtar yaratma ve dağıtma bulunmaktadır. Sayısal sertifikalar kullanıcılar yerine diğer uçtaki VPN aygıtının kimliğini yoklar. Bazı üreticilerin ürünlerinde, tüm bu sayılan bilgiler merkez ofisteki VPN aygıtına girilir ve uzak uçtaki aygıtlar çevrimiçi hale geldikçe bu bilgileri merkezden indirirler. Uzaktan bağlanan kullanıcılar için, şifrelerin yönetilmesi, bağlantı betiklerinin (script) hazırlanması ve onay yönteminin oluşturulması gerekecektir. Ağ yöneticileri ayrıca, karşı uçtaki onay ve yetkilendirme (authorization) programlarını senkron kılmalıdır. Onay/doğrulama işlemi kullanıcının kendisinin iddia ettiği kişi olduğunu ispat ederken, yetkilendirme işlemi uzaktaki kullanıcının hangi ağ kaynaklarına erişim hakkı olduğunu tanımlar. Bazı hallerde onay sunucusu aynı zamanda grup yetkilerini kontrol edebilir. Böyle durumlarda grup bilgisinin sunucu ile VPN aygıtı arasında düzgün bir şekilde haberleşilmesi gerekir.
Dokuzuncu adım: VPN'in gözlenip yönetilmesi
Internet bağlantısının gözlenebilmesi gerekir. Bu VPN'in ağ trafiği ve veri akış hızı üzerindeki etkisini ölçebilmek için gereklidir. VPN sadece ağ yöneticisi tarafından çalıştırılıp anlaşılmamalı, örneğin yardım masasından (helpdesk) birileri de VPN konusunda eğitilmelidir. Hatta uzaktaki son kullanıcılar bile bazı temel kullanım kuralları ve yapılabilecek basit şeyler hakkında bilgilendirilmelidirler.
Onuncu adım: Yedek sistemler oluşturunuz
VPN kullanımı konusunda güven geldikçe, kurum içindeki diğer kritik iş uygulamaları da VPN üzerinden Internet'e taşınacaktır. Örneğin bir şirket müşteriler için satış mağazası açabilir. Bu tür kritik işler açısından, bağlantıların yedeklenmesi şarttır. Tasarım aşamasında yedek (artık, fazlalık) bağlantı ve cihazlar planlanmalıdır. Yüksek trafik yoğunluğuna sahip siteler için "yük dengelemeyi" destekleyen VPN'ler seçilmelidir. Aksi halde, kullanıcılar erişememe veya yavaşlık gibi şikâyetlerde bulunabilirler. Acil durumlar için el altında bazı modemler ve çevirmeli hatlar bulundurulmasında yarar vardır. Tüm bu sayılanlar, maliyeti arttıran unsurlardır. LAN'dan LAN'a bağlantılar için, en uygun bağlantı yedekleme seçeneği ISDN hatlarıdır. Yedek bağlantıların düzenli aralıklarla, çalışır durumda olup olmadıklarına dair kontrol edilmesi unutulmamalıdır. VPN teknolojisi, kurumların bilişim altyapısını (infrastructure) radikal bir biçimde değiştiren ve yeni iş yapma biçimlerini olanaklı kılan yeni bir teknoloji olup, hakkındaki gelişmelerin izlenmesini ve izlemekle de kalmayıp gerçeklemeye geçilmesi önerilir. Fakat konu, sertifikalar, kriptografi, tünel oluşturma protokolleri, mesaj özetleri (message digest) ve diğer bileşenleri ile az çok karmaşıklık oluşturmaktadır.
WINDOWS XP İLE VPN BAĞLANTISI OLUŞTURMAK
1. Bilgisayarınızda Windows XP’yi çalıştırıp, internet bağlantınızı kontrol edin.
2. Başlat’a (Start) ve Denetim Masası’na (Control Panel) basın.
3. Denetim Masası’nda (Control Panel) Ağ Bağlantıları’na (Network Connections) girin.
4. Ağ Görevleri’nden (Network Tasks) Yeni bağlantı oluştur’a (Create a new connection) girin.
5. Yeni Bağlantı Sihirbazı’nda (Network Connection Wizard) İleri’ye (Next) basın.
6. Ağa çalışma alanımdan bağlan’ı (Connect to the network at my workplace) seçerek İleri’ye (Next) basın.
7. Sanal Özel Ağ Bağlantısı’nı (Virtual Private Network connection) seçerek İleri’ye (Next) basın.
8. Host adı, IP veya ağ bağlantınız için uygun olan başka bir türü girin (bu seçeneği daha sonra değiştirebilirsiniz) ve İleri’ye (Next) basın.
9. Eğer masaüstüne kısayol istiyorsanız kutucuğu işaretleyin ve Bitir’e (Finish) basın.
10. Ağ Bağlantıları penceresinde, yeni oluşturduğunuz bağlantıya sağ tıklayın ve özellikleri seçin. Şimdi bu bağlantıyı kullanmadan önce nasıl özelleştireceğimize bakalım.
11. İlk sekme Genel (General), ağ bağlantılarımda bağlantıya sağ tıklayarak yeniden adlandırma (rename) seçeneğiyle değiştirebileceğimiz bağlantının ismini kapsar. Böylece İlk Bağlantıyı (First Connection) yapılandırabilirsiniz, yani, VPN bağlantısını kurmaya başlamadan önce Windows, internet gibi bir genel ağa (public network) bağlanabilir. Örneğin, çevirmeli bağlantıyı yapılandırmak için yapmanız gereken tek şey, veriyi şifreleyip göndermeden önce internete bağlanmaktır.
12. Sonraki sekme, Seçenekler (Properties) sekmesi. Bu sekmede birçok ayar yapılabilir. Bunlardan biri; Windows oturum açma etki alanıdır (Windows domain), eğer bu özelliği işaretlerseniz, VPN sunucunuz, VPN bağlantısını her çalıştırdığınızda Windows oturum açma etki alanı bilgisini isteyecektir. Diğer bir özellik, “bağlantı kesilirse yeniden çevir (redialing)”, eğer internete bağlanmak için çevirmeli ağ (dialup connection) kullanılıyorsa bu özellik ayarlanabilir. Hattan düşme çok fazlaysa bu özellik çok kullanışlıdır.
13. Sonraki sekme Güvenlik (Security) sekmesi. VPN sunucunuz için temel güvenlik ayarlarının yapıldığı sekmedir. Gelişmiş IPSec yapılandırması veya veri şifrelemesi isteme gibi başka güvenlik protokolleri belirlenebilir.
14. Sonraki sekme Ağ İletişimi (Networking) sekmesi. VPN bağlantısı için hangi ağ öğelerinin kullanılacağı seçilir.
15. Son sekme Gelişmiş (Advanced) sekmesi. Güvenlik yapılandırması ve/veya paylaşım özelliklerinin yapılandırıldığı kısımdır.
Şirkete Bağlanmak
XP VPN sunucusunu hazırladıktan sonra, ofisteki Uzaktan Erişim (Remote Access) veya VPN server’ına bağlanabiliriz. Sunucuyu ve ağ bağlantıları penceresini tekrar açalım.
1. Ağ bağlantıları penceresine çift tıklayarak veya sağ tıklayıp bağlan seçeneğini seçerek ofise bağlanın.
2. Kullanıcı adı (user name) ve şifreyi (password) girdikten sonra bağlan’a (connect) basın.
3. VPN bağlantısını sonlandırmak için bağlantı ikonuna sağ tıklayarak bağlantıyı sonlandır’a (disconnect) basın.
KAYNAKÇA
1. http://www.securityfocus.com/infocus/1461 , Virtual Private Networks: A Broken
Dream?, Eric Hines, Ekim 2001
2. http://www.enderunix.org/docs/openvpn.pdf , OpenVPN ile VPN Uygulamaları,
Huzeyfe Önal, Şubat 2006
3. http://computer.howstuffworks.com/vpn.htm , Introduction to How Virtual Private
Networks Work
4. http://www.windowsdevcenter.com/pub/a/windows/2004/03/09/vpn_connection.html, Setting Up a Virtual Private Network, Wei-Meng Lee, Eylül 2004
5. http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverview.mspx, Virtual Private Networking: An Overview, Nisan 2001
6. http://www.windowsecurity.com/articles/Virtual_Private_Networking.html ,
Virtual Private Networking
7. http://www.ssm.gov.tr/library/docs/tr/teskilat/dosyalar/bim/int_guv.pdf , İnternet
ve Güvenlik, Türker Cambazoğlu, Şubat 2003
8. http://www.windowsecurity.com/articles/Configure-VPN-Connection-Windows-XP.html, Configure a VPN Connection Using Windows XP
9. http://www.cisco.com/global/TR/media/smbcube/techsols_eseminars/IVPN.swf ,
Intranet VPN’leri Teknoloji Çözümleri E-Semineri, Cisco Systems
10. http://www.cisco.com/global/TR/media/smbcube/techsols_eseminars/RAT.swf ,
Remote Access Technology Solution E-Seminar, Cisco Systems
11. http://www.cisco.com/global/TR/media/smbcube/techsols_eseminars/EVPN.swf
, Extranet VPNs Technology Solution E-Seminar, Cisco Systems
Hazırlayan : Sevgi DÜYEN